DarkRadiation Ransomware hotar Linux-distributioner

Det är inte en överraskning att majoriteten av skadlig programvara som släpps på Internet endast riktar sig till Windows-datorer. När allt kommer omkring är detta det mest använda operativsystemet i världen. UNIX-baserade operativsystem har emellertid allt oftare riktats mot hotaktörer. Mac-användare känner sig inte längre lika säkra som de var för några år sedan, och detsamma kan också gälla Linux-användare. Vissa moderna malware-familjer riktar sig mot specifika Linux-distributioner, och dagens inlägg fokuserar på ett sådant hot - DarkRadiation Ransomware.

DarkRadiation Ransomware fokuserar på Red Hat och CentOS

DarkRadiation Ransomware-skaparna är okända, men de verkar känna till insatserna för Red Hat och CentOS, de två Linux-distributionerna som denna skadliga programvara riktar sig mot. Attacken involverar flera steg, och angriparna utnyttjar en specialbyggd mask, liksom offentliga verktyg för att dölja de skadliga bash-skript de använder. Enligt cybersäkerhetsforskare genomgår DarkRadiation Ransomware frekventa uppdateringar och de har identifierat dussintals olika versioner av filskåpet. Majoriteten av dessa versioner hade dock mindre skillnader mellan varandra.

Kriminella förlitar sig på ett enkelt SSH-maskskript för att tvinga fram SSH-nycklar och lösenord som inte är tillräckligt komplexa. Om en anslutning lyckas, kommer maskkomponenten att distribuera DarkRadiation Ransomware och fortsätta med attacken. 

Medan det yttersta syftet med DarkRadiation Ransomware är att kryptera offrets data och sedan pressa ut dem för pengar, gör det också några ganska fascinerande saker på sidan. Till att börja med har den ett fördunklat bash-skript som tjänar syftet med:

  • Ställa in lösenord för alla befintliga användare till megapassword .
  • Skapa en ny användare som heter ferrum med lösenordet MegPw0rD3 .
  • Ta bort alla andra användare förutom Ferrum .

När en fil är låst tillämpar ransomware en intressant förlängning på den - en radioaktiv ikon (☢.) Den avslutar sedan alla Docker-instanser och lanser lösenordet i ett nytt terminalfönster. Under hela processen kommer DarkRadiation Ransomware och SSH-masken att rapportera till angriparen med hjälp av en Telegram-bot.

DarkRadiation Ransomware anses inte vara avkrypterbart, och det enda pålitliga återställningsalternativet för dess offer är att återställa de förlorade filerna från en säkerhetskopia.

June 23, 2021
Uncategorized